Спецпроекты

Безопасность Бизнес Техника

Хакер изящно и демонстративно обчистил на $100 млн кошельки известной блокчейн-фирмы

Хакеру загадочным образом удалось вывести из кошельков на платформе Harmony более $99 млн в виде Ethereum. Владельцы Harmony объявили награду в $1 млн за возвращение украденного. Есть некоторые признаки того, что это была демонстрация возможностей.

85 тыс. ETH или $99,3 млн

Злоумышленник вывел криптовалютных активов Ethereum на общую сумму чуть менее $100 млн из известной блокчейн-компании Harmony.

Основная платформа Harmony, Horizon Bridge — это кроссчейн-мост, который позволяет переводить криптовалюты между разными блокчейнами. Злоумышленники воспользовались им для вывода 85837,3 ETH, что примерно равно $99,3 млн, на свой кошелек.

По данным компании CertiK, проанализировавшей инцидент, злоумышленники смогли получить доступ к мультисигнатурным кошелькам Horizon и вывести средства.

«23 июня 2022 г.... мост между блокчейном Harmony и Ethereum подвергся серийной эксплуатации, — говорится в публикации CertiK. — Нам удалось идентифицировать 12 несанкционированных транзакций и три кошелька, принадлежавших злоумышленнику. В рамках этих транзакций злоумышленник перехватил различные токены из моста, в том числе ETH, USDC, WBTC, USDT, DAI, BUSD, AAG, FXS, SUSHI, AAVE, WETH и FRAX. Транзакции были неравнозначны по суммам, но их диапазон составлял от $49,2 тыс. до $41,2 млн. Злоумышленнику удалось этого достичь, каким-то образом добившись от владельца кошелька MultiSigWallet вызова прямой транзакции confirmTransaction… для прямого вывода большого количества токенов из моста в Harmony. Все эти средства злоумышленник сосредоточил на одном основном адресе».

Блокчейн-фирма Harmony в результате атаки лишилась активов на $100 млн в виде Ethereum

В Harmony отметили, что злоумышленникам удалось скомпрометировать приватные ключи. При этом в компании продолжают утверждать, что ключи хранились надежно, в дважды зашифрованном виде, и доступа к ним в plaintext с одной конкретной машины получить было невозможно.

Однако «Злоумышленник сумел получить доступ и дешифровать ряд ключей, в том числе тех, которые использовались до подписи неавторизованной транзакции, и захватить активы в форме BUSB, USDC, ETH и WBTC, — говорится в заявлении Harmony. — Все эти активы затем были сконвертированы в ETH и на данный момент остаются в аккаунте хакера в блокчейне Ethereum. К настоящему времени хакер не предпринимал никаких мер, чтобы анонимизировать эти активы». В компании также заявили, что речи о компрометации системы смарт-контрактов или уязвимостях в самой платформе Horizon и что средства были украдены «на стороне Ethereum».

$1 млн за возвращение средств и технические подробности

Компания назначила награду в $1 млн за возвращение украденных активов и за техническую информацию об атаке, пообещав также не выдвигать уголовных обвинений в случае возвращения украденного.

«То, что взломщик не пытался анонимизировать выведенные средства, может указывать на демонстративную природу этой атаки, — полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — И, похоже, в Harmony тоже подозревают, что кто-то в произвел несанкционированное “пентестирование”, чтобы продемонстрировать возможность обойти существующие средства безопасности блокчейнов. Отсюда и обещание крупного вознаграждения. Но точно пока ничего сказать нельзя».

Летом 2021 г. неизвестный хакер успешно взломал криптобиржу Poly Network и выкрал в общей сложности активов более чем на $610 млн. Однако вскоре он вернул все средства, заявив, что лишь хотел продемонстрировать уязвимости в платформе, и получил вознаграждение в размере $500 тыс.

Роман Георгиев

Короткая ссылка